【论文速读】| 多轮对话中的个性化社会工程攻击——用于模拟和检测的LLM代理

原文标题：Personalized Attacks of Social Engineering in Multi-turn Conversations - LLM Agents for Simulation and Detection

原文作者：Tharindu Kumarage, Cameron Johnson, Jadie Adams, Lin Ai, Matthias Kirchner, Anthony Hoogs, Joshua Garland, Julia Hirschberg, Arslan Basharat, Huan Liu

作者单位：Arizona State University；Kitware, Inc；Columbia University

关键词：Social Engineering, Chat-based SE, LLM Simulation, SE Defense, Personality-aware Agents

原文链接：https://arxiv.org/abs/2503.15552

开源代码：暂无

论文简介：本文聚焦于使用大语言模型（LLM）模拟和检测基于聊天的社会工程（CSE）攻击问题。研究者提出了一个名为 SE-VSim 的框架，通过模拟攻击者和具有不同人格特征的受害者之间的多轮对话，来深入理解社会工程攻击的动态特征。同时，提出了 SE-OmniGuard，一个个性化检测系统，结合人格分析和对话内容，提供更智能、精细化的防御机制。

研究目的：随着LLM技术的普及，攻击者越来越容易通过“人设逼真”的对话骗取用户信任，从而实现敏感信息窃取。现有检测系统往往侧重于发现敏感信息交换，却忽视了攻击者“建立信任”“情绪操控”等非直接攻击行为。本文旨在填补这一空白，借助LLM对话智能体模拟真实攻击过程，并研究人格特质与受害倾向之间的关系，进而推动防御机制向个性化、动态化方向发展。

研究贡献：

• 提出SE-VSim框架，实现对攻击者策略与受害者心理互动的真实模拟；

• 构建1350条模拟对话数据集，覆盖不同攻击角色（如招聘人员、记者、资金方）与三类敏感目标信息（PII、财务数据、知识产权）；

• 深入分析“大五人格特征”对社会工程攻击易感性的影响，为受害者画像提供理论依据；

• 提出SE-OmniGuard个性化检测系统，利用控制-工人代理结构，实现高效且低成本的攻击检测，尤其对“渐进式”“非直接”的攻击更具优势。

在数字化沟通日益频繁的今天，传统社会工程（Social Engineering, SE）攻击已逐渐被更为隐蔽、智能的新型攻击方式所取代，尤其是在大语言模型（LLMs）驱动的对话系统出现之后。这类攻击不再是粗糙的诈骗短信或邮件，而是通过一轮又一轮“对话”逐步渗透——话术更自然，语言更流畅，情境更真实，令人难以察觉其中的恶意。

与传统攻击不同，多轮对话中的攻击往往从“建立信任”开始，而非一上来就索要敏感信息。这种渐进式的渗透策略使得攻击者可以在毫无察觉中建立起心理优势，使得用户放松警惕甚至主动配合。而现有的检测机制往往聚焦于“是否泄露了敏感信息”，忽略了潜藏在对话结构中更深层的攻击意图。

作者指出，想要有效模拟和防御此类攻击，不能单靠语言模式识别，还必须回归“人”的核心——即理解个体的心理与行为机制。不同人格特质的人，其在面对诱导、恐吓、讨好等攻击策略时的反应截然不同。因此，构建一种能“识人识招”的系统，成为实现智能防御的关键所在。

为此，作者提出了 SE-VSim 框架，以LLM为核心，构建包含攻击者与受害者双重人格的对话模拟环境，并以此生成更贴近真实的攻击样本。最终目标是提升检测模型的泛化能力与准确率，推动“个性化防御”在网络安全领域的落地。

 “聊天式社会工程攻击”（Chat-based SE, CSE）正成为当今数字空间中的重大安全隐患。攻击者利用社交媒体平台（如LinkedIn）所营造出的“专业信任氛围”，化身为招聘官、记者、资助人等身份，实施多轮话术诱导，逐步获取受害者的个人隐私、财务信息乃至知识产权。

研究表明，这类攻击的效果高度依赖于“社会工程机制”——即攻击者如何施加影响、如何建立信任、如何操控心理。而传统检测方法大多建立在语言模式识别、关键词匹配基础上，缺乏对心理机制与人性弱点的建模，导致误判率高、防御效果差。

SE-VSim系统正是在这一背景下诞生，它不仅仅是一个对话生成器，更是一个心理模拟器：它可以模拟高神经质用户在面临时间压力时如何崩溃、也能演绎高宜人性个体在面对“请帮我个忙”的请求时如何动摇。通过将“大五人格”引入对话模拟中，SE-VSim成功提升了攻击模拟的真实性，也为个性化防御策略提供了可量化的参考样本。

近年来，针对社会工程攻击（Social Engineering, SE）尤其是基于聊天的社会工程攻击（Chat-based SE, CSE）的研究持续升温。早期研究聚焦于通过短信、电话和社交媒体平台识别攻击阶段，并据此提出多种检测方法。例如，SEADER++系统利用合成数据和多层感知机（MLP）分类器检测恶意聊天内容；ICSA系统则采用TextCNN模型识别社交网络中的钓鱼阶段。随着深度学习的发展，研究者引入了如SG-CSE BERT的零样本识别模型，以及CSE-ARS这样的多模态融合方法以提升跨场景检测能力。

与此同时，学界也逐步认识到个性化防御的重要性。已有研究表明人格特质对受害者的易感性有显著影响，尤其是高宜人性或低责任心个体更易受骗。然而，当前大多数防御系统仍采用“一刀切”的策略，缺乏对用户心理差异的建模。

此外，随着大语言模型（LLM）崛起，研究者开始尝试将其用于攻击仿真和防御建模。但已有工作多集中于生成攻击话术或模拟单轮交互，鲜有研究将LLM用于构建多轮、动态、人格驱动的对话框架。本文正是针对这一空白，首次提出了融合人格建模与策略演化的对话式攻击模拟系统，并以此探索个性化检测机制的可行性。

为了真实还原社会工程攻击的过程，作者设计了一个名为 SE-VSim 的模拟框架，该框架由“攻击者代理”和“受害者代理”两个大语言模型驱动的智能体组成，能够自动生成具有欺骗意图的多轮对话。攻击者代理通过上下文学习机制，依据其“伪装角色”（如记者、招聘人员或资助机构）与攻击目标（如获取财务信息、知识产权等）设定行为策略，并以此引导对话发展。而受害者代理则根据“五大人格特质”（开放性、责任心、外向性、宜人性、神经质）构建心理特征，从而在对话中展现出不同的响应模式。例如，高宜人性者更易顺从请求，而高神经质者在压力情境下可能表现出焦虑和犹豫。

在对话过程中，两个代理轮流交互，每一轮话术都基于先前上下文和当前角色设定动态生成。整段对话持续至预设轮数（如10轮）结束，形成完整的攻击或正常交流场景。通过引入“人格+策略”的建模方式，SE-VSim不仅能展现攻击者如何调整策略以适应不同类型受害者，还能帮助研究者深入理解多轮社交攻击的心理演化路径。最终，该系统生成了1,350段标注完备的对话数据，为后续检测模型提供了高质量的训练样本。

为了验证SE-VSim模拟系统在还原真实社会工程攻击（CSE）过程中的有效性，作者从心理学和网络安全两个维度对其生成的攻击对话进行分析。研究重点是探讨人格特质与攻击成功之间的关系，并与现有文献中的实证研究结果进行比对。结果发现，SE-VSim模拟出的攻击行为与现实中已知的受害者反应模式高度一致。

例如，具有高责任心的个体通常倾向遵循规则和权威，在面对攻击者伪装成“资助机构”或“官员”的情况下更容易产生信任并顺从要求；而高宜人性者则因渴望维护和谐关系，更可能对请求做出配合，导致信息泄露。此外，开放性和外向性强的人往往愿意参与更多对话，也在无意间为攻击者创造了操控空间。

这些行为特征与真实CSE攻击研究结果高度契合，说明SE-VSim具备模拟真实攻击动态的能力。虽然该框架并不主张LLM完全取代现实世界的安全事件模拟，但研究结果表明，其生成的对话在揭示攻击者战术与受害者心理反应方面，已足以作为可靠的研究工具，为个性化防御策略和检测系统提供有力支撑。

在评估现有社会工程攻击检测能力时，作者发现大多数检测模型在面对多轮、隐蔽的攻击场景时表现不佳。以Llama-3、GPT-4o和ConvoSentinel等为代表的检测器，在处理明显的敏感信息泄露情形时准确率尚可，但当攻击者采用渐进式操控、建立信任等策略时，其检测性能明显下降。这表明当前系统过于依赖“敏感信息交换”这一表面特征，难以捕捉更复杂的心理操控过程。

为解决这一问题，作者提出了一个全新的防御框架——SE-OmniGuard。该系统采用“控制代理+工人代理”的多代理结构，模拟现实中人类安全专家的分析流程。控制代理（如GPT-4o-mini）负责整体判断，多个工人代理则分别分析受害者的人格特征、攻击策略类型以及对话中潜藏的信息诱导意图。通过这种模块化协作，系统不仅能精准识别明显的攻击行为，也能洞察那些未直接索取敏感信息但具有操控意图的“部分成功攻击”。

实验结果显示，SE-OmniGuard在多个攻击角色和情景下的平均检测准确率达到81%以上，显著优于传统模型，尤其在对付复杂多轮攻击中展现出更强的鲁棒性。这证明，该系统具备在现实环境中有效抵御社会工程攻击的潜力。

本文聚焦于大语言模型在多轮社会工程攻击（CSE）中的双重角色，既能扮演攻击者生成具有欺骗性的对话，也能作为防御工具识别潜在威胁。作者提出的SE-VSim框架，首次将攻击策略建模与受害者人格特征结合，构建出高度逼真的CSE对话数据集，涵盖多种攻击角色、目标信息类型以及五大人格特质的受害者模拟。这一方法不仅提高了对现实攻击行为的理解，也为个性化防御提供了全新视角。

基于SE-VSim生成的数据，作者进一步构建了防御系统SE-OmniGuard，通过“主控代理+任务代理”协同工作机制，实现对攻击过程的动态监测与分析。实验表明，SE-OmniGuard在识别多轮攻击、尤其是“部分成功”类型攻击方面表现出显著优势，远优于现有检测模型。

总体而言，本研究突破了传统SE防御系统对“敏感信息识别”单一特征的依赖，强调将“心理建模”“策略识别”与“多轮上下文理解”相结合，是向个性化、智能化网络安全防御迈进的重要一步。未来，该框架可进一步拓展至其他攻击类型和应用场景，为构建更具适应性和鲁棒性的安全体系提供技术支撑。